Aleo增长总监答疑Bug赏金计划和工具&设施资助计划

编译：AleoAsia Aleo ASIA亚太组织 2023-12-19

这是 Aleo 的第 59 次官方社区电话会议。

Aleo 的增长总监 Anthony DiPrinzio 讨论了Bug赏金计划Aleo又派钱了！50万美金找Bug赏金计划正式启动！，该计划侧重于与核心协议相关的错误，特别是 snarkOS 和 snarkVM GitHub 存储库。

在会议的后半部分，他更多地谈到了工具和基础设施资助计划Aleo又资助100万美元！宣布 Aleo 工具和基础设施资助计划。

正文正式开始之前，大家如果有空，6月11日别忘了来香港面基哦~~Aleo官方下周在香港线下活动！快来报名！

Anthony：谢谢邀请我。很高兴能在社区电话会议上发言。也许就在我开始之前，我会快速介绍一下自己。我叫Anthony。我在 Aleo 帮助领导生态系统的发展。这是一个非常跨职能的角色：我与产品、营销、业务开发、Viv 和社区以及Aleo 方面的许多不同的人一起工作。对于过去两年一直在我们社区的人来说，当我曾经和我们的另一位同事 Sam一起参加这些电话会议时，您可能还记得我。对于所有 OG，我很高兴回到这里与大家交谈。是的，基本上我今天受邀的原因是谈论 Aleo 的 Bug Bounty 计划。如果您不熟悉，Aleo 实际上就在昨天正式宣布了我们的漏洞赏金计划。如果您想了解更多详细信息，可以访问我们的博客 aleo.org/blog。这是最近的一个。这将涵盖所有具体细节。Aleo又派钱了！50万美金找Bug赏金计划正式启动！

今天我想做的是对该计划进行高层次的概述，我们为什么要这样做，以及如果您有兴趣可以如何参与。然后我也很乐意回答人们提出的任何问题。

所以我想只是为了开始，也许我们可以从谈论什么是漏洞赏金计划开始。因此，漏洞赏金计划本质上是一种激励白帽黑客、安全工程师和其他开发人员帮助发现某些项目或开源架构中的漏洞和漏洞的方法。所以很明显，在这种情况下，由于 Aleo 正在启动这个程序，我们希望大家帮助我们找到 Aleo 网络上的关键漏洞。更具体地说，特别是对于这个程序，我们真的希望人们在Aleo 核心协议中寻找错误，你可能想知道“好吧，我们为什么要鼓励人们寻找网络中的漏洞？”——好吧，主要原因是我们在一个测试网中，你们目前都知道这一点，测试网的目的基本上是测试网络并查看可能存在问题的地方。

因此，当我们启动主网时，我们可以解决那些可能出现的问题，而这些问题在网络实际运行时不会发生。因此，我们发现这些问题的最佳方法是让核心团队以外的人多多关注，查看我们的代码库并找到其中的一些漏洞。这就是我们推出该计划的主要原因。我们真的很期待我们的社区和其他熟练的开发人员和个人来确定其中的一些问题。我会先说也许你们中的一些人看到了，我们也在我们的 Twitter 公告中发布了这个我知道我们在 Discord 上发布了一条消息，但是上周末发现了一个漏洞。正如我们所提到的，显然发现漏洞可能有点可怕，但与此同时，它实际上让我们大开眼界，并帮助我们在主网启动之前确保 Aleo 的安全。在某种程度上，您知道贡献者在主网启动之前发现了错误实际上是件好事。我们正在寻找可以帮助我们找到更多此类问题的人，也许他们可能不像那个问题那么重要，但尽管如此，对我们来说，找到任何问题都是有价值的。

如果您有兴趣提交错误报告，您实际上可以立即通过 HackerOne 提交。对于那些不熟悉 HackerOne 的人——他们是一个专业平台，实际上为各种不同的组织提供漏洞赏金，而不仅仅是加密。事实上，他们的公司范围从传统的 web2 公司到像我们这样的 web3 公司，以及介于两者之间的任何地方。他们的声誉非常好，使用他们的平台实际上可以帮助我们以更有效的方式促进这一过程，并确保我们为人们提供正确的平台和正确的流程来正确提交报告。因为发现错误是一回事，但能够以正确的方式报告它并确保由熟练的团队对其进行评估同样重要。这就是我们使用这个平台来实际管理程序的原因。

如果您阅读我们的博客文章，我们还将与另一个名为 Bugcrowd 的漏洞赏金平台合作——该平台尚未正式启动，但我们即将启动并运行该平台。两者之间没有真正的区别。因此，这些程序的目标范围和资产在 Bugcrowd 和 HackerOne 上完全 100% 相同。这基本上取决于您要将报告提交到哪个平台。我们与两个平台合作的另一个原因是，这些组织实际上培养了来自世界各地的许多真正高质量的安全工程师。同样，这些人不一定特别是 web3，他们只是来自各个领域的知名白帽黑客，所以我们也能从他们的人才库中寻找人才真的很棒，这样我们就可以有更多高质量的人才来寻找我们的开源代码并试图找到这些漏洞。所以这是我们与这两个组织合作的主要原因。

在金钱奖励方面，我们提供的赏金从针对非常低的漏洞的 500 美元一直到针对严重漏洞的 25,000 美元不等。截至目前，我们正在运行这个初始程序六个月，目的是将其扩展到主网之外。但由于这是我们第一次在 Aleo 实际运行漏洞赏金计划，我们真的想以此为契机来弄清楚什么是正确的赏金结构，提交的人是谁，我们从中获得价值？在加班期间，一旦我们有更多这样的发现，我们就会真正参与该计划。如果你对赏金结构或类似的东西感到好奇，——再次说明我们从这个初始设置和这个初始范围开始的原因是为了试水，看看事情进展如何，我会做一个记录，这写在博客文章——无论您提交报告的错误严重程度如何，我们总能给您奖金。所以，如果你发现了一个中等严重的错误，但它对生态系统产生了巨大的影响，那么我们肯定会受到激励，给你奖励。

我要说的另一件事是，如果你发现一个非常严重的错误，可能对网络造成超级危害，我们总是可以奖励你超过两万五千美元的限额。所以请注意，根据您提交的内容，有可能赚到一大笔钱。我想很多人都有的另一个问题是“嗯，你们是如何确定严重性的？”所以我们这样做的方式实际上是使用一种叫做通用漏洞评分标准或简称 CVS 的东西 . 如果你去HackerOne 页面，在程序的范围界定部分有一个链接解释了严重性细分是如何工作的，这是一个统一的系统，人们在全球范围内使用漏洞赏金计划来评估严重性。当您提交时，您可以告诉我们您认为它的严重程度，但最终我们将使用此评分标准进行交叉检查，看看您是否声称存在严重漏洞，它是否真的很严重，或者它可能是什么更低，这就是我们评估赏金严重性的方式。

然后另一件事是，对这些错误报告进行分类的人分别来自 HackerOne 和 Bugcrowd。我们实际上正在与他们的安全工程师团队合作，对所有报告进行初步审查，然后在 Aleo 内部，我们的工程团队的一个子集也将审查每一个错误报告。因此，无论您的报告是否被接受，团队都会对其进行审查，您将通过该平台收到反馈。当您注册这些平台时，您将必须创建一个帐户并遵守他们的所有规则和说明。同样，就像其他任何事情一样，您必须通过 KYC 才能获得任何奖励。这是通过两个平台完成的，完全由它们处理，但只是让你知道。

也许我要说的最后一件事是因为我们在测试网中，我在一开始就提到了这一点，我们现在真的只是专注于 Aleo 核心协议。因此，您提交的任何错误或错误报告都必须涉及 Aleo 核心协议。如果您想进一步分解构成 Aleo 核心协议的内容，那就是两个关键的GitHub 存储库。因此，对于本次电话会议中所有访问过我们 GitHub 的工程师来说，这将是一个 snarkOS，即我们的操作系统，以及 snarkVM，即我们的 ZK 虚拟机。因此，基本上是影响我们接受的这两个 GitHub 存储库中的一个或另一个的任何漏洞。因此，例如，如果您在某人编写的 Aleo 区块链之上部署的程序中发现了一个错误——例如，这将不计入这个特定的错误赏金计划。就像我一开始说的，我们确实有计划扩展这个程序，在未来，尤其是在主网启动时，部署了很多程序，并且有更多的人使用 Leo 构建，我们很可能会有一个程序供人们找到那些类型的漏洞。但对于这个初始程序，它非常专注于 Aleo 核心协议。

如果您通读了 HackerOne 平台或我们的博客文章中的范围——所有这些都清楚地列出了，但我只是想再次重申，对人们来说，这样做的目的是因为核心协议将成为关键任务错误所在。这些是我们真正需要确保在主网启动之前解决并了解的问题。我并不是说生态系统中的其他错误不重要。识别每个错误都很重要。但就战略重点而言，我们绝对 110% 需要确保我们的核心是坚实的。因为如果核心协议出现问题，将会影响 Aleo 网络上的其他一切。

我们有一份超出范围的清单。我会说这个程序非常广泛，只要你正在查看这两个 GitHub存储库，就没有太多超出范围的内容。如果您不遵循我们的提交指南，我会说一些可能会影响您收到错误报告奖励的可能性。这样做的原因是我们将查看大量不同的提交，因此您遵循我们的模板非常重要，这样我们才能尽可能高效地审查它们并做出准确的决定。因此，当您提交时，您需要做的第一件事就是提供概念证明，证明此漏洞确实存在以及如何利用它。所以你真正需要做的是提供漏洞的详细概述，然后你基本上需要包括你可能拥有的任何其他文档。您还可以提交制作报告时可用的视频以及您想提供的任何额外信息。你提供的越多越好。

对于提交相同漏洞的人，还有一件事可能会发生，我们将奖励首先提交漏洞的人。我们将确保，如果您不是第一个提交报告的人，我们可以为您指出报告或第一个提交报告的个人。所以这就是我们要关注的事情。所以不幸的是，如果有人发现了你想要报告的特定错误，我们不能为此奖励你。我认为这些是我想讨论的主要内容。

Viv：太棒了！谢谢你，Anthony，这非常有帮助和有见地。您能否谈谈 Grants 计划和 Bounty 计划的重叠，以及 Bounty 如何导致 Grant，在这方面再多说一点？

Anthony：是的，当然。因此，对于那些不知道的人，我们有一个资助计划。目前，我们正在评估一些侧重于工具和基础设施的资助计划申请。同样，以拥有真正可靠的工具和基础设施的主网发布为主题非常重要，特别是对于想要开始在 Aleo 网络上创建未来或下一代应用程序的早期开发人员而言。向我们的社区成员 Haruka欢呼，我相信你们中的很多人都使用过他的浏览器。这是社区成员构建的基础设施的一个例子，实际上非常好。我们想要更多，所以这就是现在正在发生的事情。

实际上，我刚刚与我们的 CEO Alex Pruden 进行了一次有趣的讨论，实际上，Viv 也参与了那次对话，我们的另一位同事 Sam 和我们想要做的一件事是开始开放资助计划以包括通用应用程序。因此，对于那些看到我们关于部署激励措施的公告的人来说，所有这些类别，如 ZKML、游戏、零知识去中心化金融——我们实际上希望将所有这些不同的类别带回资助计划。因此，将会有更多的细节，我们真正想要的是资助计划的小胜利。你不一定需要做一些超级复杂的事情。我们很想拥有它，但对我们来说，因为我们是一个处于早期阶段的项目，而且我们真的在为主网做准备——重要的是要有坚实的基础级应用程序和原语基础人们可以利用它来开始构建他们不同的想法。这就是资助计划。

我们将继续与大家分享，并希望有更多人提交，但这与 Bug Bounty 计划的关系——没有直接的一对一关联。我要说的是，如果你是在 Aleo 上发现漏洞的人，我认为这表明你是一个有很多才能的人，并且是生态系统的高质量贡献者，我们绝对希望继续与你合作。从我的角度来看，我认为您几乎可以看出 Bug Bounty 计划几乎就像是我们寻找一些可能也想为资助计划进行建设的社区成员的一种方式。但需要明确的是，它们就像两个不同的东西，对吧，Bug Bounty 更像是协议中的“让我们找到漏洞”，然后资助计划更像是“嘿，我想在 Aleo 上实际构建一些产品或一些很酷的项目” '. 我要说的是，与资助计划直接相关的一个领域是我们的黑客马拉松、夺旗活动和其他类型的短期计划，我们希望在这些计划中迅速吸引人们并让他们破解一些东西。

对于 ZKML 计划，我相信你们中的很多人都熟悉，我们刚刚推出了它，我们从中获得了一些很好的输出。我们希望将这些类型的计划用作另一种方式来识别网络的高质量贡献者，这样您不仅可以参与这些类型的活动并从中获得奖励，即使您不这样做，而且您可以构建一些很酷的东西——现在我们知道你是谁，我们可以识别你的身份，我们可以通过资助计划为你提供其他机会，给你一个更正式的途径来开始在 Aleo 网络上构建，在那里你可能会获得一些资金，甚至在未来一旦 Aleo 真正成功并且我们已经启动了主网， - 甚至做加速器计划或投资等事情项目，许多其他 Layer1 在空间中执行此操作。我们对此有点早，但这是您可以看到前进道路的地方。因此，Bug Bounty 计划只是那些将帮助我们发展成为一个真正强大的生态系统的初始基础计划之一。

所以是的，希望这能回答问题。没有直接关联，但肯定是识别某些人才的好方法。

Viv：非常感谢，Anthony！这绝对回答了这个问题。重申一下 Anthony 所说的，Aleo 在测试网上。这是一个测试网络，我们正在构建这个开源，这意味着我们几乎是由社区为社区构建的。其中很大一部分是：社区发现了什么，某些人没有看到的盲点是什么？正如你们所见，它需要一个村庄，也需要一个村庄来运送任何类型的主网。所以这就是我们真正想要打开大门并大力推动的东西。就像“帮助我们建设这个村庄”。你们正在这样做。我的意思是，我们非常感谢我们的社区和我们的大使。凉爽的！关于这一点，我想我们会结束的。这真是一次精彩的社区谈话。Anthony，再次非常感谢你加入我们。你回来真是太好了，其他人都感谢你排队。我们将在Discord 上与你们交谈。

Aleo 是第 1 层区块链，为网络带来隐私

了解Aleo 项目及最新进展，请阅读下述文章：

从8个方面介绍 Aleo 项目

Aleo 有可能为下一个牛市的到来打响第一炮吗？